IT-sikkerhet i elektrobedrifter
– Uansett hvem du er og hvilken bransje/sektor du arbeider for, er du et utsatt mål for hackere, kjeltringer og andre krefter som ikke vil deg noe godt. Det spiller ingen rolle hvor stor bedriften din er eller hvor du er lokalisert. Data- eller cybersikkerhet angår alle og er noe elektroinstallatører må forholde seg til, sier fagdirektør Roar Thon i Nasjonal Sikkerhetsmyndighet NSM.
Thon mener det er viktig at alle elektrobedrifter kartlegger hva de holder på med og har detaljkunnskap om selskapsverdier. – Det er også viktig å forstå din rolle mot egne kunder og samfunnet for øvrig. Grunnleggende og elementære sikkerhetstiltak som å sikre passordrutiner og beskyttelsesmekanismer må stå høyt på agendaen. I tillegg må du ha gode rutiner for pc og nettbruk. Du må også ha et bevisst forhold til hvilke produkter du tilbyr kunder og tenke sikkerhet i alt du gjør, påpeker Thon.
Sikkerhet i anskaffelsesprosesser
– Det er viktig å tenke sikkerhet i anskaffelsesprosesser både som kunde, men også som leverandør. Store virksomheter er blitt flinkere til å sikre seg digitalt, mens trussel aktører nå retter seg mot underleverandører. Det kan være veien inn mot de store. Underleverandører er kanskje ikke like opptatt av sikkerhet eller har de samme ressursene og kompetansen til å sikre seg mot uønskede hendelser. Derfor er det viktig at elektrobransjen ser på egen og kundens sikkerhet som et konkurransefortrinn i markedet. Nye lovreguleringer vil stille strengere krav til norske virksomheter på dette området, sier Thon.
Gode sikkerhetsrutiner
– For egen virksomhet handler det om å ha grunnleggende forståelse for at du og dine kunder er koblet tett sammen. Hvilke konsekvenser kan det få dersom den brytes? Det krever et bevisst forhold til all kundeinformasjon, som vi må beskytte. Vi må også stille klare krav til underleverandører, sier Thon. – Som bedrift må du også ha gode sikkerhetsrutiner for å unngå å bli svindlernes neste mål. – Du må forhindre uforutsette hendelser og tidlig oppdage når noe er i ferd med å skje. Dernest må du være i stand til å håndtere en hvilken som helst situasjon som kan oppstå. Dernest må du normalisere og komme tilbake til normal drift, sier Thon. – Like før jul ble en norsk rørleggerbedrift utsatt for et kryptovirus. Resultatet var at de måtte permittere 35 ansatte fordi datasystemene var nede. Uten oversikt over anbud, bestillinger og oppdragsmengde ble verditapet formidabelt.
Kan ramme hvem som helst
– Det spiller ingen rolle om du er en rørlegger- eller elektrobedrift eller produksjonsfabrikk. Når dataverktøyene slutter å virke og du ikke har normale back-up rutiner, kan du bli satt flere år tilbake i tid, sier Thon. –Hva kan virksomhetene gjøre og hvem kan hjelpe med å få bukt med problemet? Det er ikke gitt at alle virksomheter har kompetanse eller ressurser til å gjennomføre alle tiltak. Derfor bør de inngå avtaler med IT-driftsleverandører eller andre som har spesialkompetanse på IT-sikkerhet. Du bør også gjennomføre en modenhetsanalyse for å finne ut hvordan sikkerhetstiltakene fungerer i egen virksomhet.
Tilfeldige angrep
– Datakriminalitet og hackeraktivitet skjer tilfeldig. De som utfører slike angrep, har normalt ikke anelse om at de ender opp i Horten, Harstad eller Tromsø. De bryr seg ikke hvem de angriper. Det viktigste for dem er at de her har fått en åpning inn i systemet der de krypterer og ber om løsepenger for å åpne opp systemet igjen. Det spiller ingen rolle hvem du er, hvor stor virksomheten er og hvor du holder til. Ser de en mulighet tar de den. Rent statistisk tjener de enorme penger på denne virksomheten, ser Thon. – De som utfører denne form for kriminalitet vet ikke hvor mye penger du har på konto. De bare gjør det fordi det er en billig måte å angripe og tjene mye penger på, sier Thon. – Derfor må vi forholde oss til tilfeldighetsperspektivet. Du må ha en grunnsikring slik at du unngår å havne i uføret. Å åpne vedlegg på en mail kan faktisk føre deg inn i de kriminelles hender, sier Thon til slutt.